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© Offengelegt werden ein System und ein Verfahren zur /> — — — — s^-812 
Verbesserung der Sicherheit von Verbindungen eines vir- * 810 
tuellen privaten Netzes (VPN) durch automatische Vorver- 
handlungen einer zweiten Konfiguration. Wenn unbe- 
rechtigte Zugriffe oder and ere SicherheitsverstoSe fest- 
gestellt werden, wird der VPN-Tunnel automatisch zu ei- 
ner zweiten vorbereiteten Konfiguration hin verandert, 
um so die versuchten Sicherheitsverletzungen zu verei- 
teln. 
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Beschreibung 

Querverweis auf zugrunde liegende Anmeldung 

[0001] Die vorliegende Anmeldung bezieht sich auf die 5 
gleichzeitig eingereichte US-Patentanmeldung mit der Seri- 
ennummer 09/428,401 (Attorney Docket No. AT 9-99-35 1) 
mit dem Titel "Manual Virtual Private Networking Internet 
Snoop Avoider". 

10 

Technisches Gebiet 

[0002] Die vorliegende Erfindung bezieht sich im Allge- 
meinen auf Datenverarbeitungsnetzsysteme und insbeson- 
dere auf virtuelle private Netze (virtual private network, 15 
VPN); die Tunnelungs- oder Kapselungsverfahren verwen- 
den. 

l^INTERGRUND INFORM ATIONEN 

20 

[0003] Ein virtuelles privates Netz ist eine Erweiterung ei- 
nes privaten Intranet-Netzes iiber ein bffentliches Netz, wie 
beispielsweise das Internet, um eine sichere private Verbin- 
dung herzustellen. Dieser Effekt wird, wie nachfolgend be- 
schrieben, durch einen verschliisselten privaten Tbnnel er- 25 
reicht. Ein VPN transportiert Informationen sicher iiber das 
Internet und verbindet feme Benutzer, Zweigstellen und Ge- 
schaftspartner zu einem erweiterten Verbundnetz. 
[0004] Tunnelung oder Kapselung ist eine gangige Tech- 
nik fur paketvermittelte Netze. Ein Paket eines ersten Proto- 30 
kolls wird in einem zweiten Paket eines zweiten Protokolls 
"verpackt". Dazu wird ein neuer Header eines zweiten Pro- 
tokolls dem ersten Protokoll hinzugefiigt. Das zweite Paket 
enthalt nun die Nutzinformation des ganzen ersten Pakets. 
Die Tunnelung wird oft verwendet, um den Datenverkehr ei- 35 
nes Protokolls iiber ein Netz zu transportieren, das dieses 
Protokoll nicht direkt unterstiitzt. Ziim Beispiel kann ein 
NetBIOS-Paket (Network Basic Input/Output System) oder 
ein IPX-Paket (Internet Packet Exchange) in ein IP-Paket 
(Internet Protocol) eingebunden werden, um iiber ein 40 
TCP/IP-Netz (Transmission Control Protocol/Internet Pro- 
tocol) transportiert zu werden. Wenn das erste eingebundene 
Paket verschliisselt ist, wird ein Eindringling oder Hacker 
Probleme haben, die wahre Zieladresse und den Dateninhalt 
des ersten Pakets herauszufinden. 45 
[0005] Die Verwendung von virtuellen privaten Netzen 
wirft einige Sicherheitsbedenken auf, die iiber die bereits in 
traditionellen firmeneigenen Intranet-Netzen vorhandenen 
Bedenken hinausgehen. Ein typischer Endpunkt-zu-End- 
punkt-Datenpfad kann einige Maschinen umfassen, die 50 
nicht unter der Kontrolle der Firma stehen, wie beispiels- 
weise den Zugangscomputer des Internet Setvice Providers 
(Internet-Dienstanbieter), ein Einwahlsegment oder die 
Router (Wegewahler) innerhalb des Internets. Der Pfad kann 
auch ein Sicherheits-Gateway (Sicherheitsiibergang), wie 55 
zum Beispiel eine Firewall (Brandmauer) oder einen Router, 
beinhalten, das sich am "Qbergang eines internen Segments 
und eines externen Segments befindet. Der Datenpfad kann 
auch ein internes Segment beinhalten, das als Host oder 
Router dient und eine Mischung von innerbetrieblichem und 60 
zwischenbetrieblichem Datenverkehr transportiert. Die Da- 
tenpfade beinhalten iiblicherweise externe Segmente wie 
das Internet, die nicht nur Daten aus dem Verbundnetz son- 
dem auch von anderen Quellen transportieren. 
[0006] In dieser heterogenen Umgebung gibt es viele 65 
Moglichkeiten zu lauschen, Inhalte von Datenpaketen zu 
verandern, Denial-of-Service-Attacken (Netzdienst-Sabo- 
tage) zu betreiben oder die ZieTadresse eines Datenpakets 
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zu verandern. Gegenwartige Verschlusselungsalgorithmen 
sind nicht perfekt und sogar verschliisselte Datenpakete 
konnen gelesen werden, wenn ausreichend Zeit vorhanden 
ist. Die Verwendung eines virtuellen privaten Netzes inner- 
halb dieser Umgebung gibt solchen potentiellen Eindring- 
lingen und Hackern ein festes Ziel vor, da sich weder die 
Endpunkte des virtuellen privaten Netzes noch die Ver- 
schliisselungsverfahren und ChirTrierschliissel verandern. 
Die vorliegende Erfindung bezieht sich auf die Sicherheits- 
bedenken, die dieses System beinhaltet. 

UBERBUCK UBER DIE ERFINDUNG 

[0007] Die vorliegende Erfindung umfasst eine \brrich- 
tung und ein Verfahren fur die Vorverhandlung und die teil- 
weise zufallige Erzeugung einer zweiten Konfigurauon ei- 
nes virtuellen privaten Netzes oder eines anderen getunnel- 
ten Netzes, fur den Fall, dass die Sicherheit des Haupt-VPN 
gefahrdet wird. Konfigurationseigenschaften, wie Quell- 
und Zieladressen der Knoten, deren Chiffrierschliissel und 
Verschlusselungsalgorithmen, werden iiblicherweise ausge- 
tauscht, um ein Haupt-VPN oder ein getunneltes Netz einzu- 
richten. Wenn eine Gefahrdung des Haupt-VPN oder des ge- 
tunnelten Netzes erwartet wird, werden in der vorliegenden 
Erfindung ein Satz verwendbarer Adressen sowie verwend- 
bare Verschlusselungsverfahren zusammen mit zufallsgene- 
rierten Chiffrierschliisseln zwischen den Knoten ausge- 
tauscht. Die getunnelten Knoten sind so konfiguriert, dass 
im Fall einer Feststellung einer Gefahrdung oder einer ver- 
suchten Gefahrdung des Haupt-VPN eines der moglichen 
sekundaren virtuellen privaten Netze, die durch diese sekun- 
daren Konfigurationen reprasentiert werden, genutzt werden 
kann. 

[0008] Eine Gefahrdung des VPN oder getunnelten Net- 
zes kann durch eines der zahlreichen, nach dem Stand der 
Technik bekannten Mittel festgestellt werden, beispiels- 
weise durch einen Alert (Warnhinweis) vom Server. In der 
Vorliegenden Erfindung konnen die sekundaren Konfigura- 
tionen, die zwischen den Knoten ausgetauscht werden, auto- 
matisch verwendet werden, um ein zweites VPN oder ein 
zweites getunneltes Netz aufzubauen, wenn das Haupt-VPN 
oder das getunnelte Netz nicht mehr verwendet wird oder 
falsche Daten zugefiihrt werden. 

[0009] Die bereits erwahnten Erklarungen beschreiben in 
groben Ziigen die Eigenschaften und die technischen Vor- 
teile der vorliegenden Erfindung, um die nachfolgenden 
ausfuhrlichen Erlauterungen der Erfindung besser verstand- 
lich zu machen. Zusatzliche Eigenschaften und technische 
Vorteile der Erfindung, die Gegenstand der Patentanspriiche 
der Erfindung sind, werden nachfolgend beschrieben. 

KURZBESCHRETBUNG DER ZEICHNUNGEN 

[0010] Zum besseren Verstandnis der vorliegenden Erfin- 
dung und der daraus folgenden Vorteile wird nun Bezug ge- 
nommen auf die nachfolgenden Beschreibungen zusammen 
mit den begleitenden Zeichnungen, wobei: 
[0011] Fig. 1 ein Ubersichtsblockdiagramm eines VPN- 
Systems darstellt; 

[0012] Fig. 2 ein Blockdiagramm eines Pakets innerhalb 
eines VPN oder eines getunnelten Netzprotokolls darstellt; 
[0013] Fig. 3 ein Blockdiagramm eines Computers inner- 
halb eines VPN-Netzsystems darstellt; 
[0014] Fig. 4 ein Diagramm zur Veranschaulichung des 
Zusammenhangs von EP-Adressen, Chiffrierschliisseln und 
Verschlusselungsverfahren innerhalb eines VPN-Systems 
darstellt; 

[0015] Fig. 5 ein Diagramm zur Veranschaulichung des 
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Zusammenhangs von IP-Adressen, Chiffnerschlusseln und 
Verschlusselungsverfahren innerhalb eines VPN- Systems 
ist, das eine Anderung des VPN-Systems durch die vorlie- 
gende Erfindung demonstriert; 

[0016] Fig. 6A ein Diagramm zur Veranschaulichung der 5 
Rotation in der Anwendung eines Satzes verfLigbarer IP- 
Adressen durch die vorliegende Erfindung ist; 
[0017] Fig. 6B ein Diagramm zur Veranschaulichung der 
Rotation in der Anwendung eines Satzes verfugbarer Chif- 
frierschlussel durch die vorliegende Erfindung ist; 10 
[0018] Fig. 6C ein Diagramm zur Veranschaulichung der 
Rotation in der Anwendung eines Satzes verfugbarer Ver- 
schlusselungsalgorithmen durch die vorliegende Erfindung 
ist; 

[0019] Fig. 7 ein Ubersichtsblockdiagramm eines VPN- 15 
Systems darstellt, wobei sich bei einem der Knoten ein 
Haupt- und ein sekundarer VPN-Tunnel im Betrieb befin- 
den; 

[0020] Fig. 8 ein Flussdiagramm gemaB dem ANSI/ISO 
Standard 5807-1985 darstellt, das die Vorgehensweise der 20 
vorliegenden Erfindung beschreibt. 

AUSFUHRIICHE BES CHREIBUNG DER ERFINDUNG 

[0021] In der nachfolgenden Beschreibung werden zahl- 25 
reiche spezifische Details erklart, wie das Protokoll der 
Netziibertragung, die Bytelange, die Adressen, etc., um ein 
umfassendes Verstandnis der Erfindung zu gewahrleisten. 
Fur Fachleute ist es jedoch offensichtlich, dass die vorlie- 
gende Erfindung auch ohne diese spezifischen Details reali- 30 
siert werden kann. In anderen Fallen wurden wohlbekannte 
Schaltkreise, Computerausrustungen oder Netzeinrichtun- 
gen in Form von Blockdiagrammen dargestellt, um die vor- 
liegende Erfindung nicht mit unnotigen Details zu uberla- 
den. Meist wurden Details beziiglich Taktung, verwendeter 35 
spezifischer Ausriistung und frogrammiersprachen, ver- 
wendeter Verschlusselungsverfahren und dergleichen weg- 
gelassen, sofem diese Details nicht notwendig sind, um ein 
vollstandiges Verstandnis der vorliegenden Erfindung zu er- 
halten, und im Rahmen der ublichen Kenntnisse von Fach- 40 
leuten liegen. 

[0022] Im Rahmen dieser Beschreibung ist beabsichtigt, 
dass der BegrifF "Knoten " eine Verarbeitungsmaschine, 
z. B. einen Computer, oder eine Gruppe von Verarbeitungs- 
maschinen oder Computern, wie z. B, ein lokales Netz (lo- 45 
cal area network, LAN) oder ein Weitverkehrsnetz (wide 
area network, WAN), die elektrisch mit einem Netzsystem 
verbunden sind, umfasst. Folglich kann ein "Knoten", wie er 
im vorliegenden Dokument verwendet wird, ein LAN von 
Computern mit einem Gateway oder ein WAN von LANs 50 
mit mehreren Gateways und Routern umfassen. Es ist beab- 
sichtigt, dass die beschriebenen und zugeschriebenen Verar- 
beitungseigenschaften eines Knotens demnach von einem 
einzelnen Computer, einem oder mehreren Computern, von 
Gateways oder Routern innerhalb eines LAN oder von ei- 55 
nem oder mehreren Computern, Gateways oder Routern in- 
nerhalb eines WAN erfullt werden. Im Rahmen dieses Pa- 
tents wird mit dem Begriff "VPN" ein virtuelles privates 
Netz (virtual private network) oder ein anderes beliebiges 
eingebundenes oder getunneltes Netzprotokoll bezeichnet. 60 
[0023] Fig. 1 zeigt ein VPN-System 108. Ein Intranet 110 
ist ein System von Netzcomputern mit einer Organisation, 
die ein oder mehrere Netzprotokolle fur die Kommunikation 
verwendet. Ein Intranet 110 kann ein oder mehrere lokale 
Netze (LAN), Weitverkehrsnetze (WAN) oder eine Kombi- 65 
nation aus beiden umfassen. Oft muss ein Verbund-Intranet 
(associate intranet) 112 mit dem Intranet 110 verbunden 
werden. Ein Verbund-Intranet 112 kann ein Geschaftspart- 
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ner, Lieferant oder eine Zweigstelle sein. Das Verbund-Int- 
ranet 112 kann auch LANs, WANs oder eine Kombination 
aus beiden umfassen. Eine Einzelperson konnte auch einen 
Fernzugriff uber eine Femzugriffsmaschine 114 zum Intra- 
net 110 benotigen. 

[0024] Fur den Fall, dass das Verbund-Intranet 112 oder 
die Femzugriffsmaschine 114 nicht direkt mit dem Internet 
110 verbunden sind, kann bei der Konfiguration eines Sy- 
stems das Intranet 110 mittels Internet 116 mit dem Ver- 
bund-Intranet 112 und der Femzugriffsmaschine 114 ver- 
bunden werden. In einem solchen Fall werden, alle, das Int- 
ranet 110, das Verbund-Intranet 112 und die Femzugriffsma- 
schine 114, zu Knoten im Internet 116. 
[0025] Es wird in Fachkreisen gern gesehen, wenn das In- 
ternet 116 aus einer Reihe von Maschinen besteht, die mit- 
tels eines TCP/IP-Netzprotokolls zu einem Netz verbunden 
sind. Obwohl das TCP/EP-Netz ein universelles Protokoll 
darstellt, das die Verbindung vieler verschiedener Maschi- 
nen zum Internet 116 ermoglicht, wirft es zahlreiche Sicher- 
heitsfragen auf. Ubertragungen iiber das Internet 116 sind 
nicht sicher und konnen Ziele von Lauschangriffen (eaves- 
dropping), Denial-of-Service-Attacken, unberechtigten Zu- 
griffen uhd einer Auswahl anderer SicherheitsverstoBe wer- 
den. Folglich ist die Obertragung sehr sensibler Daten iiber 
das Internet 116 ohne SicherheitsmaBnahmen in Form von 
Verschliisselung allgemein als unsicher erkannt worden. Die 
Sicherheitsbedenken wachsen, wenn stetige und systemati- 
sche Ubertragungen uber das Internet 116 durchgefiihrt wer- 
den, wie beispielsweise die, welche erforderlich sind, um 
eine Netzverbindung zwischen dem Intranet 110 und dem 
Verbund-Intranet 112 oder der FernzugrirTsmaschine 114 
aufrechtzuerhalten. 

[0026] Fachleute werden das virtuelle private Netz als 
eine Teillosung dieser Probleme, die es gegenwartig nach 
dem Stand der Technik gibt, erkennen. Ein VPN-Tunnel 118 
kann zwischen dem Intranet 110 und dem Verbund-Intranet 
112 oder der Femzugriffsmaschine 114 definiert werden. 
Jede der Komponenten - Intranet 110, Verbund-Intranet 112 
und Femzugriffsmaschine 114 - wird dann, ebenso wie das 
Internet 116, zum Knoten im VPN-Tunnel. Der VPN-Tun- 
nel 118 stellt eine Verschliisselungseinrichtung iiber das In- 
ternet 116 zur Verfugung, die die Daten zwischen dem Intra- 
net 110 und dem Verbund-Intranet 112 oder der Femzu- 
griffsmaschine 114 durchlaufen konnen. 
[0027] Fig. 2 stellt ein eingebundenes Paket zur Ubertra- 
gung iiber den VPN-Tunnel 118 und ein Intranet-Paket 112 
dar, das aus einem IP-Header 214 und einer Nutzinforma- 
tion 216 besteht. Der IP-Header 214 ist typisch fur ein 
TCP/IP-Protokoll, aber Fachleute erkennen, dass eine sol- 
che Kapselungstechnik oft in anderen Netzprotokollen auf 
diesem Gebiet verwendet wird. Der IP-Header 214 enthalt 
Informationen, wie die Adresse der Quellmaschine, die 
Adresse der Zielmaschine sowie andere Verwaltungsdaten. 
Auf der anderen Seite enthalt die Nutzinformation 216 die 
Daten, die von der Quellmaschine zur Zielmaschine ubertra- 
gen werden soli en. In einem VPN-System wird dem Origi- 
nalpaket 212 ein neuer IP-Header 218 vorangestellt. Der 
neue IP-Header 218 enthalt die gleiche Art von Verwal- 
tungsinformationen wie der IP-Header 214, jedoch veran- 
lassen die Verwaltungsinformationen im neuen IP-Header 
218, dass das ganze Paket zum Endpunkt des VPN-Tunnels 
118 transportiert wird. Oft wird das ganze eingebundene Pa- 
ket 212 vor dem Anhangen des neuen IP- Headers 218 ver- 
schlusselt. Auf diese Weise kann die Partei, die das getun- 
nelte Paket abfangt, nicht ohne weiteres Informationen aus 
dem Originalpaket 212 entnehmen. 

[0028] Eine typische Hardware-Umgebung zur Anwen- 
dung der vorliegenden Erfindung ist in Fig. 3 abgebildet, die 
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eine typische Hardwarekonfiguration eines Datenverarbei- 
tungssystems 313 gemaB dem Gegenstand der Erfindung 
darstellt, das eine Zentraleinheit (central processing unit, 
CPU) 310, z. B. einen konventionellen Mikroprozessor, und 
eine Anzahl anderer durch einen Systembus 312 miteinan- 5 
der verbundener Einheiten aufweist. Das System 313 bein- 
haltet einen Speicher 314, der aus einem Arbeitsspeicher 
(random access memory, RAM) und einem Festspeicher 
(read only memory, ROM) besteht. Das System 313 umfasst 
auch einen Ein-/Ausgabe-Adapter (input/output adapter, 10 
I/O) 318 zum Anschluss peripherer Gerate, wie Plattenein- 
heiten 320, am Bus 312, eine Benutzerschnittstelle 322 zum 
Anschluss einer Tastatur, einer Maus und/oder anderer Be- 
nutzerschnittstellengerate (nicht abgebildet), am Bus 312, 
einen Kommunikationsadapter 334 zum Anschluss des Sy- 15 
stems 313 an ein Datenverarbeitungsnetz, wie beispielweise 
ein LAN und/oder ein WAN. Das System 313 kann auch 
eine Anzeigeeinheit 336 zum AnschlieBen eines Anzeigege- 
rales (nicht abgebildet) an den Bus 312 umfassen. Die Zen- 
traleinheit 310 kann auch andere, hier nicht abgebildete 20 
Schaltungen umfassen, die die in einem Mikroprozessor ub- 
lichen Schaltungen enthalten. Das System 315 kann auch an 
jedem der bereits erwahnten Knoten verwendet werden. 
[0029] Der Kommunikationsadapter 334 ist so angepasst, 
dass Daten vom Bus 312 empfangen und zur tjbertragung 25 
iiber das Netz 340 an ein Netzprotokoll angepasst werden. 
Ein solches Protokoll kann TCP/IP, NetBIOS oder eine Viel- 
falt anderer Netzprotokolle sein, die nach dem Stand der 
Technik ublich sind. Der Kommunikationsadapter 334 ver- 
fiigt iiber eine oder mehrere mit ihm verbundene Adressen, 30 
die verwendet werden konnen, um ausgehende Pakete zu 
"kennzeichnen" oder festzustellen, ob ein eingehendes Pa- 
ket fur ihn bestimmt ist. Der Kommunikationsadapter 334 
kann auch eine "Aliasnamenspriifung" vornehmen, um 
gleichzeitig mehr als eine Adresse diesern Kommunikati- 35 
onsadapter 334 zuzuordnen. Die zu ubertragenden Informa- 
tionen werden zur oben in Fig. 2 erklarten Nutzinformation 
216. Der Kommunikationsadapter 334 kann auch angepasst 
werden, um Daten vom Netz 340 zu empfangen und diese 
als Nutzinformation 216 eines eingebundenen Pakets umzu- 40 
packen oder weiterzuleiten. 

[0030] Die Arbeits weise der vorliegenden Erfindung ist in 
Fig. 4 dargestellt. Eine Intranet-Struktur 410 kann mehrere 
VPN-Tunnelverbindungen 412, 414 aufweisen. Jeder der 
VPN-l\]nnelverbindungen 412, 414 ist eine IP- Adresse 430, 45 
ein Chiffrierschlussel 432 und ein Verschliisselungsverfah- 
ren 434 zugeordnet. Wie nachdem Stand der Technik ublich, 
ist die IP-Adresse 430 eine eindeutige Adresse innerhalb des 
Internets 116, wie Fig. 1 zeigt. 

[0031] Der Chiffrierschliissel 432 und das Verschlussel- 50 
ungsverfahren 434 konnen eine beliebige Anzahl von 
Schlusseln oder Verfahren sein, wie es in der Computerver- 
schliisselungstechnik festgelegt ist. Eine. Vielzahl von Ver- 
schliisselungsverfahren stehen zur Verfugung, die eine Viel- 
zahl von Chiffrierschlusseln 432 verschiedenen Umfangs 55 
verwenden, sodass jede Maschine ihren eigenen Chiffrier- 
schlussel 432 hat. Oblich sind 128-Bit-Schliissel. Der Chif- 
frierschliissel 432 ermoglicht der Intranet-Struktur 410, ge- 
sendete und empfangene Pakete zu verschliisseln und zu 
entschliisseln, wenn er unter Anwendung des Verschlussel- 60 
ungsverfahrens 434 verwendet wird. Ein Vorteil der vorlie- 
genden Erfindung besteht darin, dass sie von den Chiffrier- 
schlusseln 432 und den Verschliisselungsverfahren 434 un- 
abhangig ist, sodass mit der vorliegenden Erfindung jedes 
beliebige Verschlusselungsverfahren mit beliebig vielen 65 
Chiffrierschlusseln verwendet werden kann. 
[0032] In Fig. 4 sind Strukturen eines Verbund-Intranets 
432 abgebildet, die jeweils eine zugeordnete IP-Adresse, ei- 



nen Chiffrierschlussel und ein Verschlusselungsverfahren 
aufweisen, wodurch die VPN-IYmnelverbindung 420 fest- 
gelegt wird. Eine Fernzugriffsstruktur 430 hat ebenfalls eine 
zugeordnete VPN-Tunnelfernverbindung 418, die die glei- 
chen Konfigurationsinformationen aufweist. Die Verbund- 
VPN-Tunnelverbindungen 420 und die VPN-Tunnelverbin- 
dungen 414 legen einen VPN-Tunnel 428 fest. Die VPN- 
Tunnelfernverbindung 418 und die VPN-Tunnelverbindung 
412 legen ebenfalls einen VPN-Tunnel 428 fest. 
[0033] Die vorliegende Erfindung beinhaltet den Aus- 
tausch von Elementen einer sekundaren VPN-Konfigura- 
tion, wie IP-Adresse, Chiffrierschlussel und Verschlussel- 
ungsverfahren, zwischen einer Intranet-Struktur 410 und ei- 
ner Fernzugriffsmaschine 418 oder einem Verbund-Intranet 
420 unmittelbar nach der Einrichtung eines VPN- Tunnels 
428, 426. 

[0034] Weil Adressen typischerweise eindeutig sein miis- 
sen, tauschen die Maschinen mindestens eine sekundare 
Adresse, optimalerweise aber einen Satz von Adressen aus, 
die dieser Maschine zugewiesen sind oder zugewiesen wer- 
den konnen. Der von jeder Maschine unterstiitzte Satz von 
Verschlusselungsverfahren ist ebenfalls ein fester Satz, so- 
dass dieser unterstiitzte Satz von Verschlusselungsverfahren 
ausgetauscht wird. SchlieBlich wird auch ein zufallsgene- 
rierter Schlussel fur jedes Verschlusselungsverfahren ausge- 
tauscht. 

[0035] Einmal ausgetauscht, werden die sekundaren Kon- 
figurationslemente fur die Fernzugriffsmaschine 418 durch 
die Intranet-Struktur 410 gespeichert: Die sekundaren Kon- 
figurationselernente der Intranet-Struktur 410 werden eben- 
falls auf der Fernzugriffsmaschine 418 gespeichert. 
[0036] In dem Fall, dass entweder die Intranet-Struktur 
410 oder did Fernzugriffsmaschine 418 unberechtigte Zu- 
griffe oder andere mogliche SicherheitsverstoBe entlang des 
VPN-Tunnels 428 feststellt, wird die feststellende Maschine 
einen vordefinierten Verwaltungsanderungscode an die an- 
dere Maschine iibermitteln. Der Anderungscode gibt an, 
welche von den vorher ausgetauschten sekundaren Konfigu- 
rationselementen verwendet werden miissen. Da die Sicher- 
heit des VPN-T\innels 428 bereits gefahrdet sein kann, darf 
der Anderungscode nicht die aktueUen sekundaren Konfigu- 
rationselemente beinhalten. Vielmehr muss der Anderung- 
scode einen Code benennen, der symbolisiert, welche se- 
kundaren Konfigurationselemente verwendet werden miis- 
sen. 

[0037] Eine Ausruhrungsart des Verfahrens der vorliegen- 
den Erfindung ist in Fig. 8 dargestellt. Ein Anderungsalgo- 
rithmus 810 beginnt bei Schritt 812 mit der Vorbedingung 
des Vorhandenseins eines Netzsystems. Ein primarer VPN- 
Tunnel zwischen zwei Knoten des Netzsystems wird in 
Schritt 814 eingerichtet. Danach tauschen die Knoten in 
Schritt 816 sekundare VPN-Konfigurationsinformationen 
aus. Ein solcher Austausch kann iiber den zuvor in Schritt 
814 eingerichteten primaren VPN-IYinnel erfolgen. Der Al- 
gorithmus 810 wartet dann, bis eine Gefahrdung in Schritt 
818 festgestellt wird. Wie bereits erwahnt, kann eine Ge- 
fahrdung entweder ein SicherheitsverstoB oder eine techni- 
sche Storung sein. Liegt eine Gefahrdung vor, iiberrnittelt 
der feststellende Knoten dem Fernknoten den Verwaltungs- 
anderungscode in Schritt 820. Daraufhin verhandeln beide, 
der feststellende Knoten und der Fernknoten, in Schritt 822 
automatisch einen sekundaren VPN-IYinnel. 
[0038] Nach der Einrichtung des sekundaren VPN- Tun- 
nels in Schritt 822 kann der Algorithmus 810 entweder das 
Aufgeben des primaren VPN-Tunnels in Schritt 824 oder 
die Einspeisung falscher Daten in den primaren VPN-Tun- 
nel in Schritt 826 veranlassen. Der Algorithmus kann in 
Schritt 828, wie gezeigt, beendet werden, oder in einer alter- 
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nativen Ausfuhrung in einer Schleife zusatzliche VPN-In- 
formationen in Schritt 816 austauschen. 
[0039] Fig, 5 zeigt ein mogliches Ergebnis eines Verwal- 
tungsanderungscodes. Die Intranet-Struktur 510 hat das 
Ende des sekundaren VPN- Tunnels 528 in Ubereinstim- 5 
mung mit der sekundaren Konfigurationsinformationen 512 
neu konfiguriert. Die Femzugriffsmaschine 518 hat eben- 
falls anhand der VPN-Konfigurationsinformationen, die ihr 
durch die Intranet-Struktur 510 vorher gesendet wurden, neu 
konfiguriert. Als Ergebnis gibt es nun den sekundaren VPN- 10 
Tunnel 528 zwischen zwei verschiedenen IP-Adressen rnit 
verschiedenen Chiffrierschlusseln und einem anderen Ver- 
schlusselungsverfahren. Alle Versuche, die Sicherheit des 
urspriinglichen VPN-Tunnels 428 zu gefahrden, werden 
vereitelt. 15 
[0040] Fig. 7 zeigt die Anordnung des VPN-Systems 708 
nach der Inbetriebnahme des sekundaren VPN-Tunnels 720. 
Der urspriingliche VPN-T\jnnel 718 ist zu diesem Zeitpunkt 
noch aktiv. Wegen seiner Gefahrdung sollte jedoch der ur- 
spriingliche VPN-Tunnel 718 nicht fur die Ubertragung zwi- 20 
schen dem Intranet 710 und der Femzugriffsmaschine 714 
verwendet werden. 

[0041] Nach der Einrichtung des sekundaren VPN-Tun- 
nels 720 kann der urspriingliche VPN-Tunnel 718 aufgege- 
ben oder mit falschen Daten versorgt werden. Es ist von 25 
Vorteil, dass ein einziger VPN-T\innel geandert werden 
kann, ohne andere VPN-Hinnel innerhalb des gleichen. Sy- 
stems 708 zu verandern. 

[0042] Die sekundaren Konfijgurationselemente konnen 
durch die Maschine, die einen Anderungscode sendet, an- 30 
hand einer beliebigen Anzahl von Algorithmen ausgewahlt 
werden, und es ist von Vorteil, dass viele Variationen das im 
vorliegenden Dokument vorgestellten Verfahrens moglich 
und anhand dieser Offenlegung offensichtlich sind. De facto 
verbessern die fast unendlichen Moglichkeiten verschiede- 35 
ner Auswahlalgorithmen die Sicherheit. 
[0043] Ein moglicher Algorithmus zur Auswahl von 
Adressen ist in Fig. 6A gezeigt. Eine VPN-Hauptadresse 
610 wird zusammen mit einer ersten sekundaren Adresse 
612, einigen zusatzlichen sekundaren Adressen 616 und ei- 40 
ner endgultigen sekundaren Adresse 614 angefordert. Der 
VPN-Hauptadresse 610 ist auch ein VPN-Hauptadresscode 
620 zugeordnet. Der ersten sekundaren Adresse 612, den 
zusatzlichen sekundaren Adressen 616 und der endgultigen 
sekundaren Adresse 614 sind ebenfalls sekundare Adressco- 45 
des 622, 626, 624 zugeordnet. Nach Feststellung einer Ge- 
fahrdung kann die feststellende Maschine einfach einen An- 
derungscode senden, um zur nachsten nachfolgenden 
Adresse zu wechseln. Beispielswiese fiihrt die erste Gefahr- 
dung zum Wechsel von der VPN-Hauptadresse 610 zur er- 50 
sten sekundaren Adresse 612. Die zweite Gefahrdung wiirde 
in gleicher Weise eine Verschiebung nach unten in der Rei- 
henfolge der angeforderten Adressenliste verursachen, bis 
die endgultige sekundare Adresse 614 erreicht ist, nach wel- 
cher wieder die VPN-Hauptadresse 610 die nachstgewahlte 55 
Adresse sein wiirde. 

[0044] In einer alternativen Ausfuhrung kann die feststel- 
lende Maschine einen Anderungscode senden, welcher ent- 
sprechend der Adresse, zu der gewechselt wird, den Haupt- 
oder den sekundaren Adresscode 620, 622, 626, 624 angibt. 60 
Der angegebene Anderungscode kann aus einem Satz von 
verfugbaren Adresscodes zufallig festgelegt werden. Da 
beide Knoten die gleiche Beziehung von Adresscodes zu IP- 
Adressen haben, wird eine identische Anderung der entspre- 
chenden IP-Adressen 610, 612, 616, 614 an beiden Knoten 65 
vorgenommen. 

[0045] Es ist von Vorteil, dass diese gleichen Algorith- 
mustypen verwendet werden konnen, um eine Auswahl aus 



einem Satz verwendbarer Chiffrierschliissel oder Verschlus- 
selungsalgorithmen zu treffen, wie jeweils in Fig. 6B und 
Fig. 6C dargestellt Es sei darauf hingewiesen, dass altema- 
tiv Chiffrierschliissel zufallig und sich nicht wiederholend 
erzeugt werden konnen, sodass jedesmal, wenn ein Schliis- 
sel verwendet wird, ein neuer Schlussel erzeugt wird, um 
diesen zu ersetzen. Neue Schlussel konnen sofort nach Er- 
zeugung ausgetauscht werden, wenn die Sicherheit des 
VPN-Tunnels gewahrleistet ist. 

[0046] Bei einer Anderung des VPN-Tunnels 528 mussen 
nicht alle Konfigurationsaspekte geandert werden. In einer 
alternativen Ausfuhrung konnen beispielsweise die Adres- 
sen geandert werden, wahrend die Chiffrierschliissel und 
Verschliisselungsverfahren unverandert bleiben. Der hoch- 
ste Sicherheitsvorteil wird jedoch erreicht, wenn alle Konfi- 
gurationsdaten fur den VPN-Tunnel 528 geandert werden. 
[0047] Die bisherige Diskussion hat die Arbeits weise und 
die Anwendung der vorliegenden Erfindung deutlich ge- 
macht. Mit Bezug auf die obige Beschreibung sollte erkannt 
werden, dass, auch wenn Ausfuhrungen bestimmten Materi- 
als offengelegt wurden, diese ermoglichenden Ausfuhrun- 
gen beispielhaft sind, und dass die optimalen Beziehungen 
der erfindungsgemaBen Komponenten Variationen in Zu- 
sammen setzung, Form, Funktion und Arbeits weise beinhal- 
ten, was fur Fachleute anhand der vorliegenden Darlegung 
offensichtlich ist. Alle zu den in dieser Spezifikation enthal- 
tenen Zeichnungen aquivalenten Zusammenhange sollen 
durch die vorliegende Erfindung abgedeckt sein. 
[0048] Folglich wird die vorhergehende Offenlegung als 
beispielhafte Darstellung der Grundziige der Erfindung an- 
gesehen. Da sich fur den Fachmann leicht zahlreiche Veran- 
derungen ergeben, ist nicht beabsichtigt, die Erfindung ge- 
nau auf die beschriebene und dargestellte Bauweise und den 
beschriebenen und dargestellten Betrieb zu beschranken, so- 
dass auf alle geeigneten Veranderungen und Entsprechun- 
gen, die im Geltungsbereich der Erfindung liegen, zuriickge- 
griffen werden kann. 

Patentanspriiche 

1. Getunneltes Netzsystem, welches beinhaltet: 
einen ersten getunnelten Knoten mit einem ersten Satz 
von Ibnnelungskonfigurationsdaten und mindestens 
einem ersten zugehorigen Sicherungskonfigurations- 
element; 

einen zweiten getunnelten Knoten mit einem zweiten 
Satz von Tunnelungskonfigurationsdaten und minde- 
stens einem zweiten zugehorigen Sicherungskonfigura- 
tionselement; und 

ein getunneltes Netzsystem zwischen dem ersten ge- 
tunnelten Knoten und dem zweiten getunnelten Kno- 
ten, 

wobei der erste getunnelte Knoten betrieben werden 
kann, um ein ausgewahltes erstes Sicherungskonfigura- 
tionselement aus dem Satz der ersten Sicherungskonfi- 
gurationselemente auszuwahlen, um einen Anderung- 
scode zum zweitengetunnelten Knoten zu senden, und 
um das ausgewahlte erste Sicherungskonfigurations- 
element zum Verhandeln eines getunnelten Siche- 
rungsnetzes mit dem zweiten getunnelten Knoten in 
Betrieb zu nehmen, und 

der zweite getunnelte Knoten zum Empfang und zur 
Interpretation des Anderungscodes betrieben werden 
kann, um ein ausgewahltes zweites Sicherungskonfigu- 
rationselement aus dem Satz der zweiten Sicherungs- 
konfigurationselemente auszuwahlen, und um das aus- 
gewahlte zweite Sicherungskonfigurationseiement 
zum Verhandeln des getunnelten Sicherungsnetzes mit - 
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dem ersten getunnelten Knoten zu verwenden. 

2. Getunneltes Netzsystem gemaB Anspruch 1, wobei 
der erste getunnelte Knoten weiterhin betrieben werden 
kann, um Gefahrdungen des getunnelten Netzes festzu- 
stellen und den Anderungscode bei Feststellung einer 5 
Gefahrdung des getunnelten Netzes zu senden. 

3. Getunneltes Netzsystem gemaB Anspruch 2, wobei 
die Gefahrdung eine Sicherheitsgefahrdung ist. 

4. Getunneltes Netzsystem gemaB Anspruch 2, wobei 
der zweite getunnelte Knotenbetrieben werden kann, to 
um beim Empfang des Anderungscodes einen Emp- 
fangsbestatigungscode zum ersten getunnelten Knoten 

zu senden, und wobei der erste getunnelte Knoten be- 
trieben werden kann, um vor dem Versuch der Ver- 
handlung des getunnelten Sicherungsnetzes den Emp- 15 
fangsbestatigungscode vom zweiten getunnelten Kno- 
ten zu empfangen. 

5. Getunneltes Netzsystem gemaB Anspruch 2, wobei 
der erste Satz Netzkonfigurationsdaten eine Quell- 
adresse, eine Zieladresse, mindestens einen ersten 20 
Chifrrierschlussel und ein Verschlusselungsverfahren 
umfasst, und wobei der zweite Satz Netzkonfigurati- 
onsdaten die Quelladresse, die Zieladresse, mindestens 
einen zweiten Chifrrierschlussel und das Verschlussel- 
ungsverfahren umfasst 25 

6. Getunneltes Netzsystem gemaB Anspruch 5, wobei 
das erste Sicherungskonfigurationselement mindestens 
ein Element aus folgender Menge: einer Adresse, ei- 
nem Chifrrierschlussel und einem Verschlusselungs- 
verfahren ist, und wobei das zweite Sicherungskonfi- 30 
gurationselement mindestens ein Element aus folgen- 
der Menge: einer Adresse, einem Chifrrierschlussel 
und einem Verschlusselungsverfahren ist. 

7. Getunneltes Netzsystem gemaB Anspruch 2, wobei 
der erste getunnelte Knoten betrieben werden kann, um 35 
nach dem Senden des Anderungscodes den Netztunnel 
aufzugeben, und der zweite getunnelte Knoten betrie- 
ben werden kann, um nach dem Empfang des Ande- 
rungscodes den Netztunnel aufzugeben. 

8. Getunneltes Netzsystem gemaB Anspruch 2, wobei 40 
der erste getunnelte Knoten betrieben werden kann, um 
nach dem Senden des Anderungscodes falsche Daten 
durch den Netztunnel zu ubertragen, und der zweite ge- 
tunnelte Knoten betrieben werden kann, um nach dem 
Empfang des Anderungscodes falsche Daten durch den 45 
Netztunnel zu ubertragen. 

9. Getunneltes Netzsystem gemaB Anspruch 4, das 
weiterhin umfasst: 

' mindestens einen zusatzlichen getunnelten Knoten mit 
einem zusatzlichen Satz von Tunnelungskonfigurati- 50 
onsdaten und mindestens ein zugehoriges zusatzliches 
Sicherungskonfigurationselement, 
wobei der Netztunnel weiterhin den ersten getunnelten 
Knoten und den zweiten getunnelten Knoten mit dem 
zusatzlichen getunnelten Knoten verbindet, und 55 
der zusiitzliche getunnelte Knoten zum Empfang und 
zur Interpretation des Anderungscodes betrieben wer- 
den kann, um ein ausgewahltes zusatzliches Siche- 
rungskonfi gurationselement aus dem Satz zusatzlicher 
Sicherungskonfigurationselemente auszuwahlen, und 60 
damit zu beginnen, das ausgewahlte zusiitzliche Siche- 
rungskonfi gurationselement zum Verhandeln des ge- 
tunnelten Sicherungsnetzes mit dem ersten getunnelten 
Knoten und dem zweiten getunnelten Knoten zu ver- 
wenden, wobei der erste getunnelte Knoten weiterhin 65 
betrieben wird, um vor dem Versuch der Verhandlung 
des getunnelten Sicherungsnetzes den Empfangsbesta- 
tigungscode vom zusatzlichen getunnelten Knoten zu 
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empfangen. 

10. Verfahren in einem getunnelten Netzsystem mit ei- 
nem ersten getunnelten Knoten und einem zweiten ge- 
tunnelten Knoten, das die Schritte umfasst: 

die Zuordnung eines ersten Satzes von Tunnelungskon- 
figurationsdaten und mindestens eines ersten Siche- 
rungskonfigurationselements zu dem ersten getunnel- 
ten Knoten; 

die Zuordnung eines zweiten Satzes von Tunnelungs- 
konfigurationsdaten und mindestens eines zweiten Si- 
cherungskonfigurationselements zu dem zweiten ge- 
tunnelten Knoten; 

die Auswahl mindestens eines ausgewahlten ersten Si- 
cherungselements aus mindestens einem ersten Siche- 
rungskonfigurationselement durch den ersten getunnel- 
ten Knoten; 

die Auswahl mindestens eines ausgewahlten zweiten 
Sicherungselements aus mindestens einem zweiten Si- 
cherungskonfigurationselement durch den zweiten ge- 
tunnelten Knoten; und 

die Verhandlung eines zweiten getunnelten Netzsy- 
stems durch den ersten getunnelten Knoten und den 
zweiten getunnelten Knoten durch Verwenden minde- 
stens des ausgewahlten ersten Sicherungselements und 
mindestens des ausgewahlten zweiten Sicherungsele- 
ments, 

11. Verfahren gemaB Anspruch 10, das weiterhin die 
Schritte umfasst: 

das Feststellen einer potentiellen Gefahrdung innerhalb 
des getunnelten Netzsystems beim ersten getunnelten 
Knoten; und 

die Warnung des zweiten getunnelten Knotens vor der 
potentiellen Gefahrdung durch den ersten getunnelten 
Knoten. 

12. Verfahren gemaB Anspruch 11, wobei die poten- 
tielle Gefahrdung eine potentielle Sicherheitsgefahr- 
dung ist. 

13. Verfahren gemaB Anspruch 10, das weiterhin die 
Schritte umfasst: 

das Senden eines Empfangsbestatigungscodes vom 
zweiten getunnelten Knoten zum ersten getunnelten 
Knoten beim Empfang des Anderungscodes; und 
den Empfang des vom zweiten getunnelten Knoten ge- 
sendeten Empfangsbestatigungscodes durch den ersten 
getunnelten Knoten vor dem Versuch der Verhandlung 
des zweiten getunnelten Netzsystems. 

14. Verfahren gemaB Anspruch 10, das weiterhin die 
Schritte umfasst: 

die Aufgabe des Netztunnels durch den ersten getun- 
nelten Knoten nach dem Senden des Anderungscodes; 
und 

die Aufgabe des Netztunnels durch den zweiten getun- 
nelten Knoten nach dem Empfang des Anderungsco- 
des. 

15. Verfahren gemaB Anspruch 10, das weiterhin die 
Schritte umfasst: 

das Senden falscher Daten durch den Netztunnel durch 
den ersten getunnelten Knoten nach dem Senden des 
Anderungscodes; und 

das Senden falscher Daten durch den Netztunnel durch 
den zweiten getunnelte Knoten nach dem Empfang des 
Anderungscodes. 

16. Getunneltes Netzsystem, das umfasst: 

einen ersten getunnelten Knoten mit einem ersten Satz 
von Tunnelungskonfigurationsdaten und mindestens 
einem ersten zugehorigen Sicherungskonfigurations- 
element; 

einen zweiten getunnelten Knoten mit einem zweiten 
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Satz von Tunnelungskonfigurationsdaten und minde- 
stens einem zweiten zugehorigen Sicherungskonfigura- 
tionselement; 

einen Hauptnetztunnel zwischen dem ersten getunnel- 
ten Knoten und dem zweiten getunnelten Knoten, ver- 5 
bunden mit dem ersten Satz von Tunnelungskonfigura- 
tionsdaten und dem zweiten Satz von Tunnelungskon- 
figuralionsdaten; und 

mindestens einen Sicherungstunnel zwischen dem er- 
sten getunnelten Knoten und dem zweiten getunnelten to 
Knoten, verbunden mit mindestens einem ersten Siche- 
rungskonfigurationselement, und mit mindestens ei- 
nem zweiten Sicherungskonfigurationselement, 
wobei der erste getunnelte Knoten betrieben werden 
kann, um einen Anderungscode zum zweiten getunnel- 15 
ten Knoten zu senden, und um den Sicherungsnetztun- 
nel zur Kommunikation mit dem zweiten getunnelten 
Knoten in Betrieb zu nehmen, und 
der zweite getunnelte Knoten betrieben werden kann, 
um einen Anderungscode zu empfangen, und um den 20 
Sicherungsnetztunnel zur Kommunikation mit dem er- 
sten getunnelten Knoten in Betrieb zu nehmen. 

17. Getunneltes Netzsy stern gemaB Anspruch 16, wo- 
bei der erste Knoten weiterhin betrieben werden kann, 
um eine Gefahrdung des Hauptnetztunnels festzustel- 25 
len und um nach Feststellung der Gefahrdung den An- 
derungscode zu senden. 

18. Getunneltes Netzsy stem gemaB Anspruch 17, wo- 
bei die Gefahrdung eine Sicherheitsgefahrdung isL 

19. Getunneltes Netzsy stem gemaB Anspruch 16, wo- 30 
bei der zweite getunnelte Knoten betrieben werden 
kann, um nach dem Empfang des Anderungscodes ei- 
nen Empfangsbestatigungscode zum ersten getunnel- 
ten Knoten zu senden, und wobei der erste getunnelte 
Knoten betrieben werden kann, um vor der Verwen- 35 
dung des Sicherungsnetztunnels einen Empfangsbesta- 
tigungscode vom zweiten getunnelten Knoten zu emp- 
fangen. 

20. Getunneltes Netzsystem gemaB Anspruch 16, wo- 
bei der erste Satz von Netzkonfigurationsdaten eine 40 
Quelladresse, eine Zieladresse, mindestens einen er- 
sten Chiffrierschliissel und ein Verschliisselungsver- 
fahren umfasst, und wobei der zweite Satz von Netz- 
konfigurationsdaten die Quelladresse, die Zieladresse, 
mindestens einen zweiten Chifrnerschlussel und das 45 
Verschlusselungsverfahren umfasst. 

21. Getunneltes Netzsystem gemaB Anspruch 16, wo- 
bei der erste getunnelte Knoten betrieben werden kann, 
um nach dem Senden des Anderungscodes den Haupt- 
netztunnel aufzugeben, und der zweite getunnelte Kno- 50 
ten betrieben werden kann, um nach dem Empfang des 
Anderungscodes den Hauptnetztunnel aufzugeben. 

22. Getunneltes Netzsystem gemaB Anspruch 16, wo- 
bei der erste getunnelte Knoten betrieben werden kann, 
um nach dem Senden des Anderungscodes falsche Da- 55 
ten iiber den Hauptnetztunnel zu senden, und der 
zweite getunnelte Knoten betrieben werden kann, um 
nach dem Empfang des Anderungscodes falsche Daten 
iiber den Hauptnetztunnel zu senden. 

23. Getunneltes Netzsystem gemaB Anspruch 19, das 60 
weiterhin umfasst: 

mindestens einen zusatzlichen getunnelten Knoten mit 
einem zusatzlichen Satz von Tunnelungskonfigurati- 
onsdaten und mindestens einem zugehorigen zusatzli- 
chen Sicherungskonfigurationselement, 65 
wobei der Hauptnetztunnel weiterhin den ersten getun- 
nelten Knoten und den zweiten getunnelten Knoten mit 
dem zusatzlichen getunnelten Knoten unter Verwen- 
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dung des zusatzlichen Satzes von Tunnelungskonfigu- 
rationsdaten verbindet, und 

wobei der Sicherungsnetztunnel weiterhin den ersten 
getunnelten Knoten und den zweiten getunnelten Kno- 
ten mit dem zusatzlichen getunnelten Knoten unter 
Verwendung mindestens eines zusatzlichen Siche- 
rungskonfigurationselementes verbindet, und 
der zusatzliche getunnelte Knoten betrieben werden 
kann, um den Anderungscode zu empfangen, den Emp- 
fangsbestatigungscode zum ersten getunnelten Knoten 
zu senden und den Sicherungsnetztunnel fur die Kom- 
munikation mit dem ersten getunnelten Knoten und 
dem zweiten getunnelten Knoten in Betrieb zu neh- 
men, und 

wobei der erste getunnelte Knoten weiterhin betrieben 
werden kann, um vor dem Verwenden des Sicherungs- 
netztunnels den Empfangsbestatigungscode vom zu- 
satzlichen getunnelten Knoten zu empfangen. 

24. Knoten zu einem getunnelten Netzsystem, der um- 
fasst: 

einen Satz Tunnelungskonfigurationsdaten; 
mindestens einen Satz Sicherungskonfigurationsdaten; 
und 

einen getunnelten Netzendpunkt, 
wobei der Knoten betrieben werden kann, um den Satz 
von Sicherungskonfigurationsdaten in Betrieb zu neh- 
men, um einen getunnelten Sicherungsnetzendpunkt 
einzurichten. 

25. Knoten gemaB Anspruch 24, wobei der Knoten be- 
trieben werden kann, um Gefahrdungen am getunnel- 
ten Netzendpunkt festzustellen und den Satz von Si- 
cherungskonfigurationsdaten nach Feststellung einer 
Gefahrdung in Betrieb zu nehmen. 

26. Knoten gemaB Anspruch 25, wobei die Gefahr- 
dung eine Sicherheitsgefahrdung ist. 

27. Knoten gemaB Anspruch 25, wobei der Satz von 
Tunnelungskonfigurationsdaten eine Quelladresse, 
eine Zieladresse, mindestens einen ersten Chiffrier- 
schlussel und ein Verschlusselungsverfahren umfasst 

28. Knoten gemaB Anspruch 25, wobei der Knoten be- 
trieben werden kann, um nach dem Einrichten des ge- 
tunnelten Sicherungsnetzendpunkts den getunnelten 
Netzendpunkt aufzugeben. 

29. Knoten gemaB Anspruch 25, wobei der Knoten be- 
trieben werden kann, um nach Einrichtung des getun- 
nelten Sicherungsnetzendpunkts falsche Daten vom 
getunnelten Netzendpunkt zu senden. 

30. Computerlesbarer Datentrager, auf dem ein Com- 
puterprogramrn gespeichert ist, das umfasst: 

einen Konfigurationsspeichercode mit einem Satz von 
Codes, die einen Knoten anweisen, einen Satz von 
Tunnelungskonfigurationsdaten abzuspeichern; 
einen Sicherungskonfigurationsspeichercode mit ei- 
nem Satz von Codes, die den Knoten anweisen, einen 
Satz von Tunnelungskonfiguration-Sicherungsdaten 
abzuspeichern; 

einen getunnelten Netzendpunkteode mit einem Satz 
von Codes, die den Knoten anweisen, einen getunnel- 
ten Netzendpunkt unter Verwendung eines Satzes von 
Tunnelungskonfigurationsdaten einzurichten; und 
einen Umschaltcode mit einem Satz von Codes, die den 
Knoten anweisen, einen getunnelten Sicherungsnet- 
zendpunkt unter Verwendung eines Satzes von Tunne- 
lungskonfiguration-Sicherungsdaten einzurichten. 

31. Computerlesbarer Datentrager gemaB Anspruch 
30, auf dem zusatzlich ein Computerprogramm gespei- 
chert ist, das umfasst: 

einen Detektionscode mit einem Satz von Codes, die 
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den Knoten anweisen, eine Gefahrdung des getunnel- 
ten Netzendpunkts festzustellen; und 
einen Warncode mil einem Satz von Codes, die den 
Knoten anweisen, mit der Ausfuhrung des Umschalt- 
codes nach Feststellung der Gefahrdung zu beginnen. 5 

32. Computerlesbarer Datentrager gemaS Anspruch 

31, wobei der Satz von Tunnelungskonfigurationsdaten 
eine Quell adresse, eine Zieladresse, mindestens einen 
ersten Chiffrierschlussel und ein Verschlusselungsver- 
fahren umfasst. 10 

33. Computerlesbarer Datentrager gemaB Anspruch 

32, wobei die Gefahrdung eine Sicherheitsgefahrdung 
ist. 

34. Computerlesbarer Datentrager gemaB Anspruch 
32, wobei der Umschaltcode daruber hinaus betrieben 15 
werden kann, um den Knoten anzuweisen, nach Ein- 
richtung des getunnelten Sicherungsnetzendpunktes 
den getunnelten Netzendpunkt aufzugeben. 

35. Computerlesbarer Datentrager gemaB Anspruch 
32, wobei der Umschaltcode daruber hinaus betrieben 20 
werden kann, um den Knoten anzuweisen, nach Ein- 
richtung des getunnelten Sicherungsnetzendpunktes 
falsche Daten von dem getunnelten Netzendpunkt zu 
senden. 

25 
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